詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

自勒索病毒Wannacry本月12日開始爆發後,已經蔓延到全球上百座城市以及感染了數十萬台機構和個人電腦。而對於更多的受害者來說,亟待解答的一問題是,到底該不該付贖金。

對於要不要付贖金這件事,目前有兩種觀點:

  • 一是付贖金,息事寧人。有報導稱,FBI給出了應對此類事件的建議:支付贖金。雖然調查人員否認了這一說法,但是根據5萬美元起的案件受理標準以及繁瑣的調查過程,付贖金似乎成了相對不錯的選擇。
  • 而另一種觀點是堅決不付罰金,用法律來維護正義,比如受害者迪士尼。此前迪士尼CEO表示,公司即將上映的一部電影被盜。如果公司堅決不付贖金的話,可能會面臨被「撕票」的情況。比如之前Netflix的10集電視劇就被駭客發佈到了網上。

如果付了贖金,警察就能解決這件事嗎?拿美國拉斯維加斯來說,頻繁的駭客攻擊行為已經超出了當地FBI 處理能力,這也意味著他們不可能去調查每一起案件。而如果付了贖金,被盜的文件就能順利的解密被返回嗎?對於這一問題,真還不好說。

尤其在這次的勒索軟體中,贖回流程中存在漏洞,駭客可能並不知道是誰付的贖金以及到底該給誰解密。另外,難上加難的是,贖金返回時可能已經被另一個駭客劫持,也就是我們通常說的「黑吃黑」。

 

付款贖回加密文件可行嗎?

根據騰訊反病毒實驗室經過分析,發現WannaCry病毒提供的贖回流程可能存在漏洞,支付贖金的操作是一個和電腦弱綁定的設定,並不能把受害電腦的付款情況傳遞給駭客。

簡單說來,就是即使駭客收到了贖金,他也無法準確知道是誰付的款,該給誰解密。比特幣勒索的受害者對於支付贖金一定要慎重考慮,對於透過付款贖回被加密的文件,不要抱太大的期望。下面就來看一下付款的過程。

病毒感染電腦後,會彈出一個支付視窗:

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

病毒彈出的支付框中包括三個關鍵點

1、Contact Us  用於聯繫駭客

2、Check Payment  用於上傳被加密的key文件,服務器返回用於解密文件的key文件

3、Decrypt 使用Check Payment獲取的解密key文件對機器上被加密的文件進行解密

 

  • Contact US

Contact Us按後會彈出一個視窗,用於聯繫病毒作者

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

當受害者輸入消息按send後會遍歷下面列表中的各個地址進行發送消息,由於接收訊息的是暗網網址,因此國內受害者需要配置連接暗網環境(安裝並配置Tor瀏覽器)。

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion

 

發送的內容如下圖

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

 

 關鍵訊息有以下幾部分

1、00000000.res文件的前8個字節(Send訊息圖中紅框內),其中00000000.res是暗網訪問工具tor針對用戶的一個訊息標識檔案

2、電腦名和電腦帳戶名(Send訊息圖中橙色框內)對應的獲取程式碼如下圖

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

3、受害者發送的實際內容(Send訊息圖中綠色框內):Hello this is a send test

 

  • Check Payment

Check Payment按後會先檢測伺服器是否可以連通,如果不可以連通會提示如下訊息

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

告知受害者先去檢查自己「是否可以訪問暗網」。

如果可以連通則發送了一段資料,如下圖

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

Check Payment的關鍵訊息有以下幾部分

1、00000000.res文件的前8個字節,和send訊息一致(紅色框內)

2、電腦名和電腦帳戶名稱,和send訊息一致(橙色框內)

3、比特幣轉帳地址(綠色框內)

4、需轉帳金額(金色框內):$600

5、被加密過的key檔案(00000000.eky)的內容

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

伺服器會根據內容中發送的res前8個字節、電腦名和電腦帳戶名等訊息確認受害者是否已經付過款,如果沒有付款的話,伺服器傳回失敗,病毒提示如下訊息

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

告知受害者沒有付款或者病毒作者沒有確認,最佳的確認時間是GMT時間上午9點到上午11點。

如果確認已經付款就會把00000000.eky文件進行解密並返回,病毒接收到服務器的返回會在受害電腦上生成用於解密文件的key檔案(00000000.dky),該檔案會在Decrypt(解密)流程中使用到。

  • Decrypt

按Decrypt後會開啟解密流程,解密就是讀取從伺服器上獲取的解密key檔案00000000.dky作為密鑰,然後找遍電腦上被加密的文件檔案,利用這個密鑰來進行解密,如下圖

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

 

為什麼駭客無法確認你真的付款?

在這裡做一個簡單的流程總整理:

  • 首先,受害者需要透過Contact us告知病毒作者自己已經付款,這時病毒作者透過受害者發送消息時附加上傳的tor key(00000000.res前8個字節)、電腦名、電腦帳戶名等訊息作為key值唯一標識受害者,如果透過受害者發送的消息(如比特幣轉帳記錄等)確認該受害者付過款,會在後台設置一個針對該受害者的開關,標識該受害者可以獲取解密key文件。
  • 受害者等待一段時間後,按下Check Payment,這時病毒會上傳受害者的tor key、電腦名、電腦帳戶名、比特幣轉帳地址等詢問伺服器該受害者是否被確認已經付款,然後病毒會上傳受害者的一個帶有被加密過的解密key檔案文件(00000000.eky)到伺服端,伺服端如果確認受害者已經付款會把上傳上來的key文件檔案解密,並返還給受害者(00000000.dky),然後告訴受害者可以解密。
  • 受害者按下Decrypt按鈕進行解密,解密程式會讀取本機已經從伺服端獲取的受害者解密key檔案,對受害者機器上被加密的檔案進行解密。

 

贖回過程大致如下

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

現在,贖回問題的關鍵來了:因為比特幣錢包是匿名的,而比特幣的轉帳記錄又是公開的,如果直接把比特幣轉帳給了駭客,那麼只能祈禱當你聯繫上他時,能夠用語言來證明那錢是你轉過去的。

如果提前聯繫駭客呢?關於這點,很多人已經嘗試好多天與駭客透過Contact us取得聯繫,音信全無。

所以結合上述訊息來看,如果你真想透過支付,贖回你被加密檔案的希望,是比較小的。

 

另一個駭客可能已經「劫持」了你的贖金

事情還沒有結束,經過對Wannacry病毒的發展歷程的研究,發現了「黑吃黑」的現象,已經有「冒牌駭客」透過修改「原版Wannacry」比特幣錢包地址,做出了「改收錢地址版Wannacry」重新進行攻擊。

例如,其中一個「冒牌Wannacry」就將收款地址修改為了18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV,如圖

詳解Wannacry支付比特幣贖金過程,病毒作者根本沒本事確認你是否真的付贖金!

經過對這個地址的監控,發現已有受害者向該地址轉帳。根據以上分析,很不幸的,這位轉帳受害者的文件是不可能贖回了,因為他的付款對象也不知道怎麼贖回受害者的文件。

36Kr
作者

36氪(36Kr.com)累計發表超過10.8萬條包含圖文、音訊、影片在內的優質內容。氪原創內容體系涵蓋新創公司、大公司、投資機構、地方產業與二級市場等內容模組,設置有快訊、深度商業報導

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則